安全公司Damaballa聲稱發(fā)現(xiàn)了兩個(gè)程序，與去年攻擊索尼影視娛樂(lè)公司的惡意軟件密切相關(guān)，

Damballa發(fā)現(xiàn)攻擊索尼的惡意工具

    這是該公司在調(diào)查Destover惡意軟件新版本的過(guò)程中發(fā)現(xiàn)的，這個(gè)惡意軟件使得超過(guò)千兆字節(jié)索尼公司敏感信息被竊取，并且公司成千上萬(wàn)的電腦無(wú)法正常運(yùn)行。

    索尼公司信息泄漏事件的一個(gè)關(guān)鍵問(wèn)題就是攻擊者是怎樣避開(kāi)安全系統(tǒng)的。Damaballa 發(fā)現(xiàn)的這兩個(gè)程序能夠使得系統(tǒng)識(shí)別不出新文件。

    “這兩個(gè)程序被用于在攻擊過(guò)程中逃避檢測(cè)，同時(shí)可以通過(guò)網(wǎng)絡(luò)擴(kuò)大攻擊面。”高端侵入研究者Willis McDonald和 Loucif Kharouni在其周三發(fā)布的博客上寫(xiě)道。

    其中一個(gè)叫做setMFT的工具運(yùn)用的技術(shù)被稱之為時(shí)間暫留（timestopping），這種技術(shù)可以使得文件呈現(xiàn)出不同的時(shí)間戳。該技術(shù)通常被用于將重命名的新文件融入其他文件組之中。

    “這種手段可以使得文件躲過(guò)安全部門(mén)對(duì)于惡意文件的檢索，在一段時(shí)間后再重新創(chuàng)建，

電腦資料

    另一個(gè)工具叫做afset，它用于時(shí)間暫留技術(shù)，以及清除存儲(chǔ)在微軟系統(tǒng)中的登陸記錄。該工具也可以更改生成時(shí)間和可執(zhí)行文件的校驗(yàn)和。

    “afset讓攻擊者處于隱身狀態(tài)，在他們肆意網(wǎng)絡(luò)的時(shí)候清除蹤跡，”他們寫(xiě)道，”對(duì)于系統(tǒng)的全方面分析才可以揭示afset的存在和被清除的登錄記錄，但是很有可能在最初創(chuàng)建惡意文件的高危感染時(shí)間里，這種攻擊行為是不會(huì)被檢測(cè)出來(lái)的。“

    對(duì)于公司來(lái)說(shuō)，檢測(cè)出網(wǎng)絡(luò)中的入侵者是很困難的一件事，特別是攻擊者使用的是從授權(quán)用戶那里竊取的有效登陸憑據(jù)。這兩種程序使得檢測(cè)到非正�；顒�(dòng)的可能性越來(lái)越小了。

    研究人員說(shuō)，只有一種防病毒產(chǎn)品可以檢測(cè)出這兩種工具。這足以說(shuō)明這個(gè)惡意軟件的新版本至少在最初階段不會(huì)被發(fā)現(xiàn)。

    他們寫(xiě)道，”這些工具使得攻擊者可以竊取網(wǎng)絡(luò)憑據(jù)并且躲開(kāi)防御，這種功能讓攻擊者們可以在很長(zhǎng)一段時(shí)間里在整個(gè)網(wǎng)絡(luò)里暢通無(wú)阻。“